Acordo de Tratamento de Dados
Data Processing Agreement (DPA) — Art. 28 RGPD
Versão 1.0 · Última atualização: 7 de março de 2026
O presente Acordo de Tratamento de Dados (doravante, “DPA” ou “Acordo”) regula o tratamento de dados pessoais realizado pela Sphaira Tech em nome dos clubes desportivos e entidades que contratam os seus serviços, em conformidade com o artigo 28.º do Regulamento (UE) 2016/679 (RGPD) e a legislação nacional aplicável em matéria de proteção de dados.
Este Acordo é automaticamente incorporado e faz parte dos Termos e Condições da Sphaira Tech. Ao contratar ou utilizar os serviços da Sphaira Tech, o Clube aceita os termos do presente DPA.
1. Partes do Acordo
1.1. Subcontratante (Encarregado do Tratamento)
- Designação: Sphaira Tech (Alejandro Espinosa López)
- NIF: 48649484E
- Morada: Calle Federico García Lorca 3, 30009, Murcia, Espanha
- Email: info@sphairatech.com
- Papel RGPD: Subcontratante (Art. 28.º RGPD)
1.2. Responsável pelo Tratamento
O clube desportivo, academia, associação ou qualquer entidade que contrate os serviços da Sphaira Tech (doravante, “o Clube” ou “o Responsável”), identificado pelos dados fornecidos no momento do registo na plataforma.
- Papel RGPD: Responsável pelo Tratamento (Art. 24.º RGPD)
2. Objeto, Natureza e Duração
A Sphaira Tech tratará dados pessoais em nome do Clube com a finalidade exclusiva de prestar os serviços de gestão desportiva contratados, que incluem:
- Gestão de jogadores, equipas, treinadores e pessoal do clube
- Administração de documentação desportiva e médica
- Gestão de pagamentos, quotas e faturação
- Comunicações internas do clube (notificações push, mensagens)
- Planeamento de treinos, convocatórias e calendário
- Análise de estatísticas e desempenho desportivo
- Armazenamento e análise de vídeo desportivo
- Funcionalidades de inteligência artificial (análise tática, relatórios)
- Scouting e avaliação de jogadores
O presente Acordo vigora durante todo o período em que o Clube mantenha a sua relação contratual com a Sphaira Tech, e extingue-se no final dessa relação, com as obrigações de supressão ou devolução de dados previstas na cláusula 10.
3. Categorias de Dados Pessoais e Titulares dos Dados
| Categoria de titulares | Tipos de dados tratados |
|---|---|
| Jogadores adultos (≥18 anos) | Nome, apelidos, data de nascimento, email, telefone, morada, documento de identificação, fotografia de perfil, dados desportivos (posição, número, equipa), estatísticas de desempenho, presença, dados de saúde (lesões, revisões médicas), dados de faturação |
| Jogadores menores de idade (<18 anos) | Nome, apelidos, data de nascimento, fotografia, dados desportivos, dados de saúde desportiva, dados do tutor legal. Tratados exclusivamente através dos tutores legais |
| Treinadores e staff técnico | Nome, apelidos, email, telefone, fotografia, credenciais, papel no clube, histórico de atividade na plataforma |
| Pais / tutores legais | Nome, apelidos, email, telefone, relação com o menor, dados de pagamento (processados pela Stripe) |
| Administradores do clube | Nome, apelidos, email, telefone, papel, credenciais de acesso, histórico de atividade administrativa |
Categorias especiais de dados (Art. 9.º RGPD): A Sphaira Tech pode tratar dados de saúde (lesões, revisões médicas, alergias) em nome do Clube, apenas quando o Clube tenha obtido o consentimento explícito do titular ou do seu tutor legal (Art. 9.º, n.º 2, al. a) RGPD).
4. Instruções do Responsável pelo Tratamento
A Sphaira Tech tratará os dados pessoais apenas de acordo com as instruções documentadas do Clube e não os utilizará para fins próprios alheios à prestação do serviço contratado, salvo obrigação legal em contrário.
As instruções do Clube são transmitidas através de:
- A configuração da plataforma realizada pelo administrador do Clube
- As funcionalidades ativadas ou desativadas pelo Clube no seu painel de administração
- Comunicações escritas enviadas para info@sphairatech.com
Se a Sphaira Tech considerar que alguma instrução do Clube viola o RGPD ou outra legislação aplicável, informará o Clube de imediato.
5. Obrigações da Sphaira Tech como Subcontratante
A Sphaira Tech compromete-se a:
5.1. Confidencialidade
- Garantir que as pessoas autorizadas a tratar dados pessoais se comprometeram a guardar sigilo ou estão sujeitas a obrigações legais de confidencialidade.
- Não divulgar os dados do Clube a terceiros sem instrução ou autorização do Responsável, exceto quando exigido por lei.
5.2. Medidas de segurança técnicas e organizativas
Implementar medidas de segurança adequadas nos termos do Art. 32.º RGPD, incluindo as descritas na Política de Privacidade — Secção 10:
- Ciframento em trânsito (HTTPS/TLS) e em repouso (AES-256)
- Autenticação segura com hash bcrypt e tokens JWT
- Controlo de acesso baseado em funções (RBAC)
- Tokenização de dados de pagamento (PCI-DSS Nível 1 via Stripe)
- Dados biométricos armazenados exclusivamente no dispositivo do utilizador
5.3. Assistência no exercício de direitos dos titulares
Prestar assistência ao Clube, mediante medidas técnicas e organizativas adequadas, no cumprimento da sua obrigação de responder a pedidos de exercício de direitos por parte dos titulares (acesso, retificação, apagamento, portabilidade, limitação, oposição).
Quando um titular dirija um pedido diretamente à Sphaira Tech, reencaminharemos para o Clube sem demora injustificada.
5.4. Assistência em obrigações de segurança
Auxiliar o Clube a garantir o cumprimento de:
- Obrigações de segurança do tratamento (Art. 32.º RGPD)
- Notificação de violações de dados à autoridade supervisora (Art. 33.º RGPD)
- Comunicação de violações de dados aos titulares afetados (Art. 34.º RGPD)
- Realização de Avaliações de Impacto sobre a Proteção de Dados (AIPD) quando necessário (Art. 35.º RGPD)
5.5. Notificação de violações de dados pessoais
A Sphaira Tech notificará o Clube, sem demora injustificada e em todo o caso no prazo máximo de 72 horas após ter conhecimento, de qualquer violação de dados pessoais que afete os dados do Clube, nos termos do Art. 33.º RGPD.
A notificação será enviada para o endereço de email do administrador do Clube registado na plataforma e incluirá, no mínimo: descrição da natureza da violação, categorias e número aproximado de titulares afetados, consequências prováveis e medidas tomadas ou propostas.
5.6. Disponibilização de informações e auditorias
A Sphaira Tech disponibilizará ao Clube todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Art. 28.º RGPD, e permitirá e contribuirá para a realização de auditorias e inspeções pelo Clube ou por um auditor por ele designado.
Os pedidos de auditoria devem ser submetidos com aviso prévio razoável (mínimo 30 dias de calendário) e por escrito para info@sphairatech.com. Os custos associados a auditorias presenciais serão suportados pelo Clube.
6. Obrigações do Clube como Responsável pelo Tratamento
O Clube, enquanto Responsável pelo Tratamento, compromete-se a:
- Ter obtido o consentimento informado dos titulares (ou dos seus tutores legais no caso de menores) antes de introduzir os seus dados na plataforma da Sphaira Tech.
- Ter informado os titulares sobre o tratamento dos seus dados, incluindo a identidade e dados da Sphaira Tech como subcontratante.
- Garantir que as instruções dadas à Sphaira Tech para o tratamento de dados são conformes com o RGPD e demais legislação aplicável.
- Não introduzir na plataforma dados pessoais que não sejam estritamente necessários para a gestão desportiva do clube.
- Garantir que apenas o pessoal autorizado do clube acede à plataforma e aos dados dos titulares.
- Manter os dados dos titulares atualizados e gerir adequadamente os pedidos de exercício de direitos recebidos diretamente.
- Informar a Sphaira Tech de imediato se tiver conhecimento de qualquer incidente que possa afetar a segurança dos dados.
7. Subcontratantes
O Clube autoriza a Sphaira Tech a contratar os seguintes subcontratantes para a prestação dos serviços. A Sphaira Tech garante que estes subcontratantes oferecem garantias suficientes de conformidade com o RGPD e que os contratos com eles incluem as mesmas obrigações de proteção de dados:
| Subcontratante | País / Sede | Finalidade | Garantia de transferência |
|---|---|---|---|
| Stripe, Inc. | EUA | Processamento de pagamentos e cobranças de quotas | Quadro de Privacidade de Dados UE-EUA (DPF) |
| Firebase / Google LLC | EUA | Envio de notificações push | Quadro de Privacidade de Dados UE-EUA (DPF) |
| OpenAI, Inc. | EUA | IA para análise tática e relatórios (dados pseudonimizados) | Quadro de Privacidade de Dados UE-EUA (DPF) + DPA próprio |
| Backblaze, Inc. | UE (eu-central) | Armazenamento de vídeo desportivo | Dados alojados na UE |
| Google LLC (Gmail SMTP) | EUA | Envio de emails transacionais | Quadro de Privacidade de Dados UE-EUA (DPF) |
| Resend, Inc. | EUA | Envio de emails transacionais | Quadro de Privacidade de Dados UE-EUA (DPF) |
| Activa Network | França (UE) | Alojamento da base de dados principal | Dados alojados na UE (sem transferência internacional) |
A Sphaira Tech notificará o Clube com pelo menos 30 dias de antecedência de qualquer alteração prevista nos subcontratantes. O Clube pode opor-se a tais alterações enviando uma comunicação escrita para info@sphairatech.com no prazo de 15 dias após a notificação.
8. Transferências Internacionais de Dados
As transferências internacionais de dados realizadas pela Sphaira Tech ou pelos seus subcontratantes baseiam-se em:
- Quadro de Privacidade de Dados UE-EUA (DPF): reconhecido como adequado pela Comissão Europeia. Os fornecedores Stripe, Google, OpenAI e Resend estão certificados neste quadro.
- Cláusulas Contratuais-Tipo (CCT): aprovadas pela Comissão Europeia (Decisão 2021/914) como garantia adicional ou alternativa quando aplicável.
- Dados alojados na UE: a base de dados principal e os vídeos estão alojados em servidores na União Europeia.
Para os dados enviados à OpenAI aplica-se pseudonimização automática prévia: nomes de jogadores, treinadores, equipas e localizações são substituídos por tokens antes do envio, minimizando a exposição de dados identificáveis.
9. Prazo de Conservação dos Dados
A Sphaira Tech conservará os dados pessoais do Clube durante o tempo estritamente necessário para a prestação dos serviços contratados. Os prazos concretos são os estabelecidos na Política de Privacidade — Secção 9.
Em nenhum caso os dados serão conservados para além do prazo máximo legalmente admissível para cada tipo de dados, salvo instrução expressa do Responsável em contrário e em conformidade com a lei.
10. Devolução ou Supressão de Dados no Final do Serviço
Uma vez terminada a relação contratual entre o Clube e a Sphaira Tech:
- Exportação de dados (até 90 dias após o cancelamento): o Clube pode solicitar a exportação de todos os seus dados em formato padrão (CSV, JSON ou PDF) nos 90 dias seguintes ao cancelamento do serviço, enviando o pedido para info@sphairatech.com.
- Supressão definitiva: decorrido o período de exportação (ou antes se o Clube o solicitar expressamente), a Sphaira Tech procederá à eliminação definitiva e irrecuperável de todos os dados pessoais do Clube dos seus sistemas, no prazo máximo de 30 dias.
- Confirmação de supressão: a Sphaira Tech enviará ao Clube uma confirmação escrita da supressão completa dos dados após a sua realização.
- Conservação por obrigação legal: os dados que devam ser conservados por obrigação legal (ex.: dados financeiros durante 5 anos) não serão suprimidos, mas ficarão bloqueados e não serão utilizados para qualquer outro fim.
11. Responsabilidade
A Sphaira Tech responderá perante o Clube pelo incumprimento das obrigações estabelecidas no presente DPA que lhe sejam diretamente imputáveis, nos termos e com os limites estabelecidos nos Termos e Condições — Secção 10.
O Clube responderá perante os titulares e as autoridades de supervisão pelo cumprimento das suas obrigações como Responsável pelo Tratamento, incluindo a obtenção de consentimentos válidos e a correta informação aos titulares.
12. Legislação Aplicável e Resolução de Conflitos
O presente DPA rege-se pelo Regulamento (UE) 2016/679 (RGPD), pela Lei Orgânica Espanhola 3/2018 (LOPDGDD) e pela legislação portuguesa aplicável, incluindo a Lei n.º 58/2019, de 8 de agosto, e demais legislação europeia em matéria de proteção de dados.
Para a resolução de qualquer litígio decorrente do presente Acordo, as partes submetem-se à jurisdição dos Tribunais de Múrcia, Espanha, sem prejuízo da competência da Agência Espanhola de Proteção de Dados (AEPD) como autoridade de controlo.
13. Contacto
Para qualquer questão relativa ao presente DPA ou ao tratamento de dados no âmbito dos serviços da Sphaira Tech:
- Email: info@sphairatech.com (assunto: “DPA / Acordo de Tratamento de Dados”)
- Telefone/WhatsApp: +34 623 91 17 72
- Morada postal: Calle Federico García Lorca 3, 30009, Murcia, Espanha
Este Acordo foi atualizado pela última vez em 7 de março de 2026 (versão 1.0). Para consultar as nossas outras políticas: